Espace Banque & Droit

DORA, le texte de référence
en matière de cyber-résilience
des entités financières

Créé le

25.01.2023

-

Mis à jour le

26.01.2023

Règlement (UE)2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (Digital Operational Resilience Act ou « DORA »)

Emmanuel Jouffin
  • Docteur en droit
  • Responsable veille réglementaire Cyber et PSSI

L’année 2022 a été d’une incomparable richesse normative dans le domaine du numérique au sens large, cette activité effrénée1 reflétant notamment la préoccupation de défense des intérêts vitaux européens dans un domaine où croissent les menaces. À cet égard, le 27 décembre, a eu lieu une remarquable conjonction normative, puisque ce ne sont pas moins de quatre textes gigognes2 fondamentaux en matière de sécurité physique et numérique des entités les plus sensibles qui ont été publiés au JOUE.

Cette activité législative foisonnante ne saurait surprendre. Si la résilience financière du secteur bancaire européen avait été renforcée dans le prolongement de la crise financière de 2008, la résilience numérique restait un domaine à encadrer et harmoniser. Certes, le renforcement du niveau de cybersécurité des opérateurs de services essentiels et des fournisseurs de services numériques ou l’élargissement du rôle de l’Agence de l’Union européenne pour la cybersécurité (ENISA)3 allaient dans le bon sens, mais n’étaient plus suffisants.

Le règlement DORA4 a ainsi pour objet de renforcer la cybersécurité5 plus spécifiquement dans le secteur financier, notamment au travers de l’encadrement et de la supervision des relations avec des prestataires dont l’importance n’a cessé de croître, au même rythme d’ailleurs qu’une certaine indocilité de ces derniers face aux exigences sécuritaires formulées par leurs donneurs d’ordre.

Si DORA s’inscrit dans le droit fil des textes susmentionnés, il s’appuie aussi sur d’amples réflexions notamment conduites au sein de l’Autorité bancaire européenne (ABE)6, mais également au sein de la Banque des règlements internationaux (BRI)7.

Le Conseil de Stabilité Financière souligne, pour sa part, que la plupart des cadres actuels de surveillance et d’octroi de licences sont antérieurs à l’émergence des fintechs8 et relève la nécessité d’une surveillance de « l’impact des nouveaux modèles d’entreprise et des systèmes de prestation de services financiers afin de déterminer comment ils affectent leur capacité à surveiller les transactions financières de bout en bout ». Cette préoccupation est également celle du Comité de Bâle9, lequel souligne que « les autorités compétentes de l’Union européenne [ont] le droit d’exiger directement du prestataire toutes les informations nécessaires à l’accomplissement de leurs tâches et d’effectuer des inspections sur site »10.

Dans un rapport de 2020 consacré au cyber-risque systémique, le Comité européen du risque systémique (CERS) a mis en lumière le fait que, d’une part, l’interconnexion entre des entités financières, des marchés financiers et des infrastructures des marchés financiers et, d’autre part, les interdépendances de leurs systèmes de TIC, étaient susceptibles de constituer une vulnérabilité systémique, en raison de la propagation d’un cyberincident localisé et ce, sans limitation géographique.

Le règlement DORA entend apporter une réponse à ces préoccupations. Il constitue à ce titre une lex specialis par rapport à NIS211 et s’applique, sauf quelques rares exceptions, à l’ensemble des acteurs du secteur financier12.

DORA fixe un nouveau paradigme dans le domaine de la cybersécurité pour le secteur en recherchant la « résilience opérationnelle numérique »13 et non plus la seule maîtrise du risque opérationnel.

Pour autant ce texte est, en grande partie, un exercice de synthèse de principes connus. Pour mémoire, on mentionnera notamment le fait que l’entité financière reste entièrement responsable du risque cyber, que ce risque doit être géré en tenant compte d’un principe de proportionnalité, que les entités financières doivent établir une stratégie relative au risque liés aux tiers et assurer une surveillance de leurs prestataires informatiques, ce d’autant que les contrats de prestation soutiennent des fonctions critiques ou importantes. Enfin, est rappelé que les organes de direction assument une responsabilité importante dans ce domaine.

Toutefois, DORA ne se résume pas à un exercice récapitulatif. Tout d’abord, est prise en considération la notion de « risque de tiers » plutôt que celle d’ « externalisation », les exigences issues de ce nouveau règlement se voulant transverses et favorisant le partage d’informations, non seulement entre entités, mais aussi entre autorités. Si DORA ne fait pas de distinction entre l’externalisation et d’autres formes de recours à des fournisseurs de services TIC14, il distingue toutefois, au plan opérationnel, selon la nature des services concernés, avec une attention particulière pour les fournisseurs tiers soutenant des « fonctions critiques ou importantes ».

L’une des grandes avancées de DORA est également une double reprise en main des prestataires qui se trouvent d’une part, soumis à un corpus réglementaire obligatoire dans leurs relations avec leurs donneurs d’ordre et, d’autre part, à un cadre de supervision de la part des autorités européennes. Au risque d’une redite, le règlement attache bien entendu une attention toute particulière aux fonctions critiques ou importantes15 ainsi qu’aux prestataires tiers critiques de services TIC16.

En synthèse, DORA poursuit principalement quatre grands objectifs. Tout d’abord, la gestion du risque informatique et, notamment, la gouvernance des entités concernées et, enfin, une harmonisation des mesures techniques de résilience.

Le deuxième objectif est la gestion des incidents informatiques, leur catégorisation et la notification des incidents informatiques majeurs et des cybermenaces.

Le troisième objectif concerne la question des tests de résilience à conduire. Il s’agit des tests de résilience opérationnelle, tests de pénétration « avancés »17 et des exigences relatives aux personnes en charge de la conduite de ces tests18. L’article 45 concerne par ailleurs les échanges d’informations entre entités financières en matière de renseignements sur les cybermenaces.

Le quatrième objectif est lié à la gestion des relations avec les prestataires de services TIC. Cette préoccupation se manifeste dans le domaine contractuel, y compris la question sensible du risque de concentration19, mais aussi, nous l’avons vu, dans le domaine de la supervision des prestataires critiques de services TIC par les autorités européennes de supervision.

Cette question concerne notamment la gouvernance interne des entités concernées, l’article 5 fixant avec précision les missions et responsabilités de l’organe de direction lequel assume la « responsabilité ultime » (article 5, par., 2a) de la gestion du risque lié aux TIC. S’agissant du périmètre des organes de direction, on notera que DORA fait référence à cinq textes20 et qu’il vise, de manière alternative, « ...les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés ».

Le règlement fait de l’organe de direction le chef d’orchestre de la cybersécurité en ce qu’il approuve, supervise et assume la responsabilité de la mise en œuvre de l’ensemble des strates concourant à la robustesse du cadre de gestion du risque. Cette omniprésence ne saurait surprendre. Elle était déjà décrite dans la notice ACPR du 7 juillet 202121, on peut toutefois regretter une absence de distinction tenant compte de la répartition des tâches entre les organes directions (conseil de surveillance, dirigeants effectifs...).

S’agissant des obligations de formation spécifique à destination des dirigeants (article 5-4), la question n’est pas nouvelle et fait l’objet d’un encadrement bien établi en droit positif. Ainsi, la notice de l’ACPR susmentionnée soulève cette question22 dans son point 2523, lequel évoque des actions adaptées pour les dirigeants effectifs et, à titre de bonne pratique, pour les membres de l’organe de surveillance.

Toujours en ce qui concerne les dirigeants, la BCE dans son guide des évaluations d’aptitude et de conformité de décembre 2021 (§ 3.5, p. 47) prévoit qu’il doit y avoir « un nombre suffisant de membres ayant des connaissances dans chaque domaine pour permettre des discussions et des remises en question efficaces et de prendre des décisions solides ». Parmi ces domaines, figurent les « technologies de l’information et la sécurité ».

Il convient de souligner que la responsabilité des dirigeants est un véritable leitmotiv réglementaire. Pour exemple, dans le domaine bancaire, les lignes directrices 2020/06 du 29 mai 2020 sur l’octroi et le suivi des prêts prévoient une implication de l’organe de direction, lequel doit avoir une compréhension suffisante de l’utilisation des innovations technologiques, de ses limites et de son impact sur les procédures d’octroi de crédits (§ 4.3.3). Par ailleurs, ce sujet est une préoccupation de la BCE, cette dernière s’intéressant à l’aptitude collective des conseils d’administration en ce qui concerne leur expertise informatique24.

En bonne logique, DORA prévoit que l’organe de direction assure un suivi des contrats avec les prestataires tiers de services TIC, un membre de la direction générale pouvant être désigné responsable de la surveillance de l’exposition à ce risque25. D’autre part, ce même organe doit examiner régulièrement les contrats de prestation portant sur des fonctions critiques ou importantes26. On notera enfin que DORA exige que la responsabilité de la gestion et de la surveillance du risque lié aux TIC soit confiée à une fonction de contrôle ayant « un niveau approprié d’indépendance afin d’éviter les conflits d’intérêts »27.

Sur le plan plus opérationnel, il convient de souligner deux exigences de DORA pouvant avoir un impact important. Tout d’abord, est prévu un « isolement » des actifs informationnels infectés28 et, d’autre part, en matière de restauration des données de sauvegarde, l’utilisation de systèmes qui soient « séparés physiquement et logiquement du système de TIC source »29. On attend que les autorités de supervision européennes, en accord avec l’ENISA, émettent des normes techniques de réglementation relative au cadre de gestion du risque TIC30.

DORA s’intéresse également aux « systèmes hérités », comprenons par-là les systèmes EOL (End Of Life)31, sujet déjà abordé dans les orientations de l’EBA 2019/04 sur la gestion du risque TIC (§ 55). Selon la BCE32, pour l’année 2021, le nombre d’institutions qui ont déclaré être dépendantes d’au moins un système en fin de vie soutenant des activités critiques est stable (environ 78 %) par rapport à l’année précédente. La BCE relève également l’absence de plans de migration à un horizon de trois ans pour 32 % des institutions ayant au moins un système EOL critique.

Dans ce domaine, on notera particulièrement la mention d’une communication de crise33 favorisant une « divulgation responsable », a minima des incidents majeurs liés aux TIC ou des vulnérabilités aussi bien aux clients qu’aux contreparties et, plus largement au public. Cette communication de crise devra tenir compte de l’importance de l’incident, domaine dans lequel interviendront des normes techniques de réglementation34.

Autre point saillant de cette gestion du risque informatique, la notification obligatoire des incidents majeurs auprès d’une autorité nationale compétente. DORA prévoit un dispositif à plusieurs détentes. D’une part, dès qu’elles « ont connaissance » d’un incident majeur lié aux TIC ayant « une incidence sur les intérêts financiers des clients », une information35 relative à cet incident et aux mesures prises pour en atténuer les effets préjudiciables doit avoir lieu auprès des clients. Bien que DORA ne vise que les intérêts financiers de la clientèle, on ne peut écarter le fait que cette disposition puisse se cumuler avec les exigences de l’article 33-1 du RGPD36 en matière de protection des données personnelles. Par ailleurs, la notion d’incidence n’est assortie d’aucune précision sur l’ampleur de cette dernière.

Par ailleurs, DORA détaille trois étapes à respecter en matière de notification37. Tout d’abord, une notification initiale, suivie d’un rapport intermédiaire, sitôt que la situation de l’incident initial a « sensiblement évolué », éventuellement suivi de notifications actualisées en fonction d’une modification des circonstances ou d’éventuelles demandes de l’autorité compétente. Enfin, un rapport final est rédigé après analyse des causes originelles, mises en place de mesures d’atténuation et lorsque l’évaluation chiffrée des incidences est disponible en lieu et place des estimations.

L’autorité nationale doit ensuite informer notamment les autorités européennes de supervision et la BCE lesquelles décident, en accord avec l’ENISA et en coopération avec l’autorité compétente concernée, si l’incident nécessite une information des autorités compétentes concernées des autres États membres.

Il convient de noter que DORA prévoit une notification purement volontaire38 s’agissant d’une cybermenace « importante »39 si celle-ci est « pertinente pour le système financier, les utilisateurs de services ou les clients ».

La question des tests émaille DORA, ces derniers apparaissant comme une diligence fondamentale dans l’amélioration des processus d’évaluation du risque TIC. Le règlement prévoit un corpus général de règles applicables aux tests, ainsi qu’un régime particulier destiné aux entités les plus sensibles40.

De manière générale, la conduite des tests doit répondre à un critère de proportionnalité au regard de la taille, du profil de risque global et de la nature, de l’ampleur et de la complexité des activités. Ils doivent être conduits, au moins une fois l’an pour les plans de continuité d’activité et de rétablissement des systèmes TIC de toutes les fonctions. Ces mêmes tests doivent par ailleurs être mis en place en cas de modification « substantielle » des systèmes TIC soutenant des fonctions critiques ou importantes41, DORA précisant que sont également envisagés des tests relatifs au plan de communication crise42.

Au titre de la typologie des tests43, DORA précise que ceux-ci doivent avoir lieu avant tout déploiement ou redéploiement d’applications et composantes d’infrastructures et de services TIC soutenant des fonctions critiques ou importantes.

S’agissant des entités les plus sensibles, celles-ci conduisent, au moins tous les trois ans, des tests dits « avancés » au moyen d’un test de pénétration fondé sur la menace, « en environnement de production en direct », soutenant l’une, voire la totalité, des fonctions critiques ou importantes44. Ces entités sont désignées par les autorités compétentes en fonction de trois critères reposant sur l’impact de leur activité sur le secteur financier, leur dimension systémique nationale ou européenne, et le profil du risque cyber, la maturité des systèmes ou les caractéristiques technologiques concernées.

Dans ce cas figure, s’appliqueront des normes techniques de réglementation45 élaborées conjointement par les trois autorités européennes de supervision et la BCE.

Ces tests seront effectués conformément au cadre TIBER-EU46, guide à l’échelle européenne abordant la manière de collaborer des entités amenées à élaborer et conduire des tests fondés sur une cyberattaque contrôlée. L’article 26 de DORA prévoit notamment que la conduite de ces tests peut être réalisée par des testeurs externes47 ou (sauf pour les établissements de crédits classés importants) internes. Dans ce dernier cas, il faut néanmoins avoir recours à un testeur externe tous les 3 tests.

Les résultats de ces diligences peuvent être partagés. Les entités financières ont en effet la possibilité d’échanger entre elles diverses informations48, pour autant que de tels partages aient pour objet l’amélioration de la résilience opérationnelle numérique, qu’ils se déroulent au sein « de communautés d’entités financières de confiance » et, qu’enfin, ils soient respectueux du respect du secret des affaires, de la protection des données à caractère personnel et de la concurrence. Une telle communauté de partage doit se doter de conditions de participation, les autorités compétentes49 devant être informées tant de la participation à une telle communauté, que de la cessation de l’adhésion à cette dernière.

Face à des prestataires de services TIC parfois indociles (indocilité proportionnelle à leur surface financière, leurs parts de marchés et leur avance technologique), DORA entend asseoir une reprise en main des relations contractuelles marquées aujourd’hui par une forte asymétrie. Cette reprise en main se manifeste essentiellement au travers de l’encadrement des relations contractuelles, indépendamment de la nature (critique, importante ou pas) des prestations en cause, mais aussi, par l’intervention du superviseur principal.

Les articles 28 à 30 posent les principes clés en matière de gestion des risques relatifs aux prestataires de services TIC dans leur ensemble. Les diligences attendues concernent l’ensemble de la relation contractuelle, en ce compris les vérifications préliminaires à la signature d’un contrat50, notamment en ce qui concerne la criticité ou l’importance des fonctions objets des prestations de services TIC.

Pour le reste, DORA se borne à énumérer un certain nombre de thématiques qui doivent être abordées, mais sans prescrire le contenu des clauses dédiées à ces dernières. De fait, les clauses contractuelles types de l’EBA en matière d’externalisation n’occupent plus qu’un « strapontin réglementaire »51 puisque l’article 30, paragraphe 4, de DORAprécise simplement que, lors de la négociation, les parties « envisagent » l’utilisation de ces dernières.

Parmi les thématiques sensibles, se trouve le risque de concentration et les conflits d’intérêts risquant de découler du contrat, ainsi que le respect des normes « adéquates » de sécurité par le prestataire52. S’agissant du risque de concentration, il est décrit comme une exposition à des prestataires tiers critiques créant un degré de dépendance tel que « l’indisponibilité, la défaillance ou tout autre type d’insuffisance de ces derniers » est de nature à mettre en péril la capacité d’un établissement à assurer des fonctions critiques ou importantes, ou l’exposer à subir d’autres types d’effets préjudiciables (y compris des pertes importantes), voire à mettre en péril la stabilité financière de l’Union dans son ensemble. Ce risque était déjà évoqué dans les lignes directrices de l’Autorité bancaire européenne relatives à l’externalisation et visait l’externalisation auprès d’un prestataire de services non facilement substituable, ainsi que les accords d’externalisation multiples conclus avec un ou plusieurs prestataires étroitement liés.

Pour l’ACPR53, « la maîtrise du risque de dépendance vis-à-vis d’un ou de plusieurs fournisseurs suppose la mise en place d’un pilotage consolidé des contrats négociés avec les fournisseurs et l’implication de la direction générale dans la validation des activités externalisées au-delà de seuils de dépendance à définir ». La question principale est celle de la détermination d’un « seuil » de dépendance lorsque l’on sait que, fondamentalement, certains marchés tel celui du cloud computing ont une structure oligopolistique.

In fine, les établissements doivent instituer une fonction dédiée au suivi des contrats avec les prestataires tiers de services TIC (que ces contrats soutiennent ou pas des fonctions critiques ou importantes), ou désignent un membre de la Direction générale54 pour ce faire.

Lorsque le contrat de services TIC porte sur des fonctions critiques ou importantes, deux remarques s’imposent. La première pour rappeler que l’article 28, paragraphe 3, de DORA prévoit « qu’en temps utiles », les entités financières informent l’autorité compétente de tout projet de contrat comportant une prestation de services TIC soutenant des fonctions critiques ou importantes55. Il en est de même en cours d’exécution du contrat, lorsque les fonctions concernées deviennent critiques ou importantes.

La seconde pour rappeler que des mentions complémentaires sont prévues par l’article 3056, notamment relatives aux stratégies de sortie des prestations, aux niveaux de services qui doivent être assortis d’objectifs de performance quantitatifs et qualitatifs précis ou à l’obligation du prestataire de participer et de coopérer pleinement aux tests d’intrusion fondés sur la menace et effectués par l’entité financière.

On notera que l’article 13, paragraphe 6, prévoit que, le cas échéant, les établissements peuvent inclure leurs prestataires de services TIC dans leurs programmes de formation.

Il convient par ailleurs d’avoir présents à l’esprit les temes de l’article 31, paragraphe 12, qui prévoit expressément que les entités financières ne font appel aux services d’un prestataire tiers critiques de services TIC, établi dans un pays tiers, que si ce dernier a établi une filiale dans l’Union européenne dans un délai de 12 mois à compter de sa désignation en tant que prestataire critique par le comité mixte des superviseurs européens57. Cette précaution, sans doute motivée par une volonté de limiter le risque d’exposition à des règles extra-territoriales, ne devrait pas avoir un impact significatif sur a-l’application de textes tels que le Cloud Act, ou bien encore, le FISA Act.

Le superviseur principal est désigné par les autorités de supervision européennes, au travers du comité mixte et sur recommandation du forum de supervision58. Ces dernières sont non seulement chargées de désigner les prestataires tiers critiques de services TIC pour les entités financières, mais aussi le superviseur principal en fonction du type d’activité que celles-ci exercent.

S’agissant des contrats de prestations sensibles, ceux-ci font l’objet d’une attention particulière de la part de ce superviseur principal qui est en mesure de formuler des recommandations en présence d’une sous-traitance, en ce compris les accords de sous-traitance par le prestataire, dont la poursuite peut entraîner des risques pour la continuité des services de l’entité financière ou pour la stabilité financière59. Ces pouvoirs de supervision peuvent aller jusqu’à la recommandation et l’abstention de conclure de nouveaux accords de sous-traitance60, voire un pouvoir d’astreinte61 afin de contraindre un prestataire à se plier aux demandes qui lui sont faites dans le cadre d’une enquête ou d’inspections.

On notera enfin une possibilité d’alerte62, par le superviseur principal, s’agissant d’un prestataire tiers critique de services TIC qui refuserait de corriger une « approche divergente » pouvant avoir une incidence négative sur un grand nombre d’entités financières ou sur une partie importante du secteur financier. Concrètement, cette mesure se traduit par des « avis non contraignants et non publics » à l’intention des autorités compétentes, afin de promouvoir « des mesures de suivi cohérentes et convergentes en matière de supervision ».

DORA entera en application le 17 janvier 2025 et sera révisé au plus tard le 27 octobre 2027. Dans les mois qui viennent interviendront les divers textes de niveau deux (11 au total) destinés à préciser certaines conditions de mise en œuvre de ce règlement. Se pose dès aujourd’hui, pour les établissements concernés, la question de l’implémentation de DORA, laquelle passera nécessairement par une analyse d’écart avec la réglementation applicable. Comme ce fut le cas pour le RGPD, avant même de penser à appliquer ce nouveau texte, il faudra préalablement évaluer le niveau de conformité actuel des dispositifs en matière de cybersécurité. n

À retrouver dans la revue
Banque et Droit Nº207
Notes :
1 Pour ne mentionner que les principaux textes : Règlement 2022/858 portant régime pilote pour les infrastructures de marché reposant sur la technologie des registres distribué (JOUE du 2 juin) ; Règlement 2022/868 portant sur la gouvernance européenne des données – Data Governance Act (JOUE du 3 juin) ; Règlement relatif aux marchés contestables et équitables dans le secteur numérique – Digital Market Act (JOUE du 12 octobre) ; Règlement 2022/2065 relatif à un marché unique des services numériques – Digital Services Act (JOUE du 27 octobre). Sans évoquer les textes attendus courant 2023, dont notamment : Règlement sur l’intelligence artificielle, Directive relative à la responsabilité des IA, les marchés de crypto-actifs (MICA), sur un cadre pour la finance ouverte favorisant le partage des données et l’accès des tiers à celles-ci dans le secteur financier ; Règlement eIDAS II portant cadre européen pour une identité digitale européenne ; Règlement visant à mettre en place un espace européen des données de santé ; Directive relative aux contrats de services financiers conclus à distance. Sans oublier un paquet législatif sur les semi-conducteurs et une réflexion sur un euro numérique.
2 La Directive (UE) 2022/2557 du 14 décembre 2022 sur la résilience des entités critiques (dite « CER ») ; la Directive (UE)2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (dite « NIS2 ») ; le Règlement (UE)2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (Digital Operational Resilience Act ou « DORA ») ; la Directive (UE)2022/2556 du 14 décembre 2022 que nous n’aborderons pas dans la présente note et qui modifie certaines directives sur les exigences en matière de résilience opérationnelle numérique (MIF II, MIFID II, Solvency II, AIFMD, CRD, BRRD, DSP I, Activités et surveillance des IRP).
3 Directive (UE)2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (Network and Information System Security ou « NIS ») et Règlement (UE)2019/881 du 17 avril 2019 relatif à l’ENISA et à la certification de cybersécurité des technologies de l’information et des communications.
4 Règlement (UE)2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier. Communément désigné par son acronyme anglais DORA (Digital Operational Resilience Act).
5 Définie comme étant « les actions nécessaires pour protéger les réseaux et les systèmes d’information, les utilisateurs de ces systèmes et les autres personnes exposées aux cybermenaces ». Règlement 2019/881 du 17 avril 2019 relatif à l’Agence de l’Union européenne pour la cybersécurité et à la certification de cybersécurité des technologies de l’information et des communications (article 2-1).
6 Orientations EBA/2019/02 du 25 février 2019 sur l’externalisation ; Orientation EBA/2019/04 du 28 novembre 2019 sur la gestion des risques liés aux Technologies de l’Information et de la Communication, reprises dans l’arrêté modifiant l’arrêté contrôle interne des entreprises du secteur bancaire, lequel a été complété par une importante notice de l’ACPR datant du 7 juillet 2021 relative à la gestion du risque informatique.
7 Cf. notamment les « Principes pour une résilience opérationnelle » publiés le 31 mars 2021 qui consacre un principe de résilience des TIC, y compris la cybersécurité. Les Principles for operational resilience publiés le 29 septembre 2022 font une synthèse de la publication de mars 2021.
8 FinTech and market structure in financial services: Market developments and potential financial stability implications – 14 février 2019, p. 8, § 2.2.1.
9 Comité de Bâle février 2018, « Saines pratiques – Implications des évolutions de la technologie financière pour les banques et les autorités de contrôle bancaire », https://www.bis.org/bcbs/publ/d431_fr.pdf. Cf. ; notamment l’annexe 2, « Contrôle indirect des prestataires de services tiers ».
10 Ibid., p. 47, 2° §.
11 Cf. considérant 16. Cf. également le considérant 23 de la directive NIS II.
12 Dont notamment : les établissements de crédit, les entreprises d’investissement, les établissements de paiement, établissements de monnaie électronique, les entreprises d’assurance et de réassurance, les sociétés de gestion...
13 Article 3, 1) : « Résilience opérationnelle numérique : la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations. »
Technologie Technologie de l’information et de la communication.
14 Article 3, 22) : « Fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers. »
15 Article 31.
16 Article 26.
17 Article 27.
18 Abordé notamment à l’article 29.
19 L’article 3-30 de DORA effectue un renvoi vers : la directive 2014/65 du 15 mai 2014 (marchés d’instruments financiers) ; la directive 2013/36 du 26 juin 2013 (accès à l’activité et surveillance prudentielle des établissements de crédit et des entreprises d’investissement), la directive 2009/65 du 13 juillet 2009 (OPCVM) ; le règlement n° 909/2014 du 23 juillet 2014 (titres et dépositaires centraux de titres).
Est également visé le projet de règlement sur les marchés de crypto-actifs.
20 Notice relative à la gestion du risque informatique pour les entreprises du secteur de la banque, des services de paiement et des services d’investissement.
21 Notice relative à l’arrêté du 25 février 2021 modifiant l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution.
22 Lequel vise par ailleurs le troisième alinéa de l’article 270-3 de l’arrêté contrôle interne, lequel évoque un programme de sensibilisation et de formations régulières « en particulier de leurs dirigeants effectifs ».
23 En ce sens, BCE, Rapport annuel sur les résultats du questionnaire sur les risques informatiques du SREP (Supervisory Review and Evaluation Process) – Feedback à l’industrie – 24 juillet 2020.
24 Article 5, par. 3.
25 Article 28, par. 2.
26 Article 6, par. 4.
27 Article 9, par. 4.
28 Article 12.
29 Article 17.
30 Article 7.
31 Rapport annuel sur les résultats du questionnaire sur les risques informatiques du SREP - « processus de surveillance et d’évaluation prudentielle » (Supervisory Review and Evaluation Process) – 12 juillet 2021.
32 Article 16.
33 Article 18, par. 3 et 20.
34 Article 19, par. 3
35 Notification « dans les meilleurs délais » et, si possible, 72 heures au plus tard après la prise de connaissance de l’évènement.
36 Article 19-4.
37 Article 19-2.
38 Article 3-13 : « une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement ».
39 Article 26-8, troisième alinéa.
40 Article 11-6-a.
41 Article 11-6b.
42 Évaluation et analyse de vulnérabilité, analyse des sources ouvertes, évaluation de la sécurité des réseaux, analyse des écarts, examen de la sécurité physique, questionnaires et solutions logicielles de balayage, (si possible) examen du code source, tests fondés sur des scénarii, tests de compatibilité, tests de performance, tests de bout en bout, tests d’intrusion (Article 25-1).
43 Articles 3, 17) et 26, par. 2.
44 Plus connus sous leur dénomination anglo-saxonne de Regulatory Technical Standards (RTS).
45 Threat Intelligence-based Ethical Red Teaming-Europe (TIBER-EU).
46 Répondant aux critères de l’article 27.
47 L’article 45 vise « notamment » les indicateurs de compromis, des tactiques, des techniques et des procédures, des alertes de cybersécurité et des outils de configuration.
48 Objets de l’article 16 de DORA, lequel précise que s’agissant des établissements de crédit, notamment ceux qui sont importants, pour les établissements de crédit classés comme importants, la BCE est concernée.
49 Articles 28-4 et 30-4.
50 EBA : GL/2019/02 Orientations relatives à l’externalisation du 25 février 2019, ESMA 50-164-4285 relatives à la sous-traitance à des prestataires de services en nuage du 10 mai 2020 et EIOPA - BoS-20-002 – Orientations relatives à la sous-traitance à des prestataires de services en nuage du 24 avril 2020.
51 Articles 28, par. 3, à 28, par. 5 et 29.
53 ACPR, « Le risque informatique », janvier 2019, p. 23.
54 Article 5, par. 3.
55 L’article 232 de l’arrêté contrôle interne modifié en février 2021 prévoit que les entreprises assujetties informent l’ACPR « cas de conclusion d’un contrat d’externalisation portant sur des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes ou lorsqu’une activité externalisée est devenue une prestation de service ou une tâche opérationnelle essentielle ou importante » et ce une fois par an.
56 Lequel sera complété par des RTS prévues par l’article 30, par. 5.
57 Article 31, par.12. Sur ce point, on consultera avec intérêt le référentiel de l’ANSSI SecNum Cloud 3.2, notamment le § 19-6, « Protection vis-à-vis du droit extra-européen ».
58 Article 32.
59 Article 35, par. 1, d) iii.
60 Sous réserve de conditions cumulatives prévues par l’article 35, par.1, d) iv.
61 1 % maximum du chiffre d’affaires quotidien moyen réalisé au niveau mondial par le prestataire concerné au cours de l’exercice précédent.
62 Prévue par l’article 42, par. 7.